Problème rootkit et autre

[invite075fb29f]

Bonjour tout le monde ( bonsoir )

J'ai un soucis de virus / rootkit.

J'ai pu remarqué cela gràce à Avast qui me le détecte mais n'arrive pas à le supprimer.
Je m'y attendais.
MBR physical Drive 0
Je ne connais pas bien la procédure, mais j'ai deja essayé de l'enlever avec diverses logiciels en vain comme Malwarebytes Anti Malware, ou encore Super AntiSpyware ..
Bref rien de concluant.
j'ai tenté la métode MBR check, mbr.exe mais rien.

J'ai pris le hichjack pour voir deja.


Pour en garder la confidentialité j'ai passé ton rapport en pièce jointe (non lisible par quelqu'un d'autre que les modérateurs et membres du groupe antimalware).

Mais si tu avais pris connaissance de cette procédure qui est signalée en tête de ce forum dans les messages importants : http://www.futura-sciences.com/fr/do...701/c3/221/p1/ tu aurais pu fournir des informations complémentaires.
-----

[invite075fb29f]

C'est de nouveau moi.
EN fait j'avais pas vu les autres parties.
Il faut aller dans suivants et je m'en excuse.
Bref

[invite4c6c2965]

Salut,
Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Désactive ton antivirus.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[invite075fb29f]

oki j'ai fait ca.
Voili voila

[A voir en vidéo sur Futura]

[invite4c6c2965]

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

File::
C:\mbr.exe      
c:\windows\system32\C3BD.tmp      
c:\windows\system32\18EC.tmp  
c:\windows\system32\drivers\haowbsa.sys 
c:\windows\system32\drivers\wuxtkkmnucy.sys 
c:\windows\TEMP\jqkb.tmp

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.

[invite075fb29f]

Re.
Je tiens a préciser qu'il y a peut etre confusion dans le titre de mes fichiers.
j'ai aussi du reboot, en effet, apres avoir glisser le fichier sur Combofix, j'ai bien eu un problème d'écran comme signalé, bref, et apres l'ordi était pas top disons que j'ai du reboot ( rien ne voulait marcher ..)
Bref voici le nouveau rapport de Combofix apres ceci.

[invite4c6c2965]

refait la manip CFScript de ComboFix puis laisse-le travailler jusqu'à ce qu'il ait fini.
Poste le rapport final.

[invite075fb29f]

J'ai donc refait la manip, ca a marché.

[invite4c6c2965]

Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.
Double-clique sur OTM.exe pour le lancer.
Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les
sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C
(ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

Code:

Fs
 
:Services
hfgesvc
spaxnlaiy
AMService
 
:Files
c:\windows\system32\drivers\haowbsa.sys 
c:\windows\system32\drivers\wuxtkkmnucy.sys 
c:\windows\TEMP\jqkb.tmp
 
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]
[Reboot]

Ferme ton navigateur ainsi que les applications ouvertes sauf OTM.
Retourne dans la fenêtre de OTM, fais un clic droit dans la zone puis Coller.

Clique sur le bouton rouge
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\*******_******.log


NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes. (Quoi qu'il en soit redémarre l'ordi)


Ensuite télécharge TDSSKiller http://support.kaspersky.com/downloa...tdsskiller.exe
Double-clic dessus (pour Vista/Seven clic-droit exécuter en tant qu'admin)
Coche les cases puis clique sur Start scan , laisse-le travailler sans l'interrompre, ni utiliser
le PC pour autre chose. En cas d'infection trouvée une nouvelle fenêtre s'ouvrira:

Si Tdl2 est détecté l'option Delete sera cochée par défaut.

Si Tdl3 est détecté assure-toi que Cure est bien cochée.

Si Tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.

Si Suspicious file est indiqué, laisse l'option cochée sur Skip

Clique sur Continue puis sur Reboot now pour redémarrer le PC.

Poste le rapport généré dans ta prochaine réponse
(Il sera aussi sauvegardé en C:\TDSSKiller_Quarantine\JJ.MM .AA_HH.MM.SS. (JJ.MM.AA date du passage du tool, HH.MM.SS heure de passage).

[invite075fb29f]

J'ai effectué tout ceci.
Pour information, je ne pourrais plus faire grand chose ce soir ( je dois partir ).
bref voici les rapports.

[invite4c6c2965]

as-tu suivi ceci ?

Si Tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.

[invite075fb29f]

Oui j'ai bien fait ce que tu as dis.
Cure était coché donc je l'ai laissé.
pourquoi il y a un soucis ?

Dois je refaire la manip ?

[invite4c6c2965]

c'est juste pour controler la suppression. relance TDSSkiller puis poste le nouveau rapport.

[invite075fb29f]

Hey,
J'ai refait, il de n'a rien détecté mais voici le rapport.

[invite4c6c2965]

ouvre OTM puis clique sur CleanUp! cela nettoiera l'ordi des outils de la procédure.
l'ordi redémarrera pour effectuer la suppression.

[invite075fb29f]

Bon je viens d'effectuer cette tache.
Y-a-t-il encore quelque chose à faire ?

Dans tous les cas : un grand merci

[invite4c6c2965]

poste un rapport HijackThis pour contrôler les éléments au démarrage (un oubli, désolé).

[invite075fb29f]

Oki oki, voili voila

[invite4c6c2965]

relance HijackThis, coche cette ligne
O20 - Winlogon Notify: wzdiyin - wzdiyin.dll (file missing)
puis clique sur Fixchecked

[invite075fb29f]

Euh c'est ce que je fais, mais quand je veux le fixchecked il peut pas Oo

[invite075fb29f]

En fait, il me dit qu'il l'enleve mais enfait quand je refais un scan avec il le remet.

[invite4c6c2965]

ce ne serait pas Spybot ou Adaware qui empêchent la suppression ? Désactive-les puis recommence.

[invite075fb29f]

Est-ce important de l'enlever ??
J'ai un petit message d'error, j'ai fais un screen

[invite075fb29f]

Re, c'est bon, j'ai reboot refait, et hop c'est bon.
Y'a-til encore quelque chose à effectuer ?

[invite4c6c2965]

C'est Ok.

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

Les dangers du P2P

Avoir une image disque pour faire un backup en cas de crash ou autres gros soucis

Bon surf & @+